zoukankan      html  css  js  c++  java

  • Linux禁止非WHEEL用户使用SU命令(转载)

     通常情况下,一般用户通过执行“su -”命令、输入正确的root密码,可以登录为root用户来对系统进行管理员级别的配置。

           但是,为了更进一步加强系统的安全性,有必要建立一个管理员的 组,只允许这个组的用户来执行“su -”命令登录为root用户,而让其他组的用户即使执行“su -”、输入了正确的root密码,也无法登录为root用户。在UNIX和Linux下,这个组的名称通常为“wheel”。

    一、禁止非whell组用户切换到root
    1、 修改/etc/pam.d/su配置

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
    1. [root@db01 ~]# vi /etc/pam.d/su ← 打开这个配置文件  
    2. #auth required /lib/security/$ISA/pam_wheel.so use_uid      ← 找到此行,去掉行首的“#”  


    2、 修改/etc/login.defs文件

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
    1. [root@db01 ~]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs ← 添加语句到行末以上操作完成后,可以再建立一个新用户,然后用这个新建的用户测试会发现,没有加入到wheel组的用户,执行“su -”命令,即使输入了正确的root密码,也无法登录为root用户  


     

    3、 添加一个用户woo,测试是否可以切换到root

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
    1. [root@db01 ~]# useradd woo  
    2. [root@db01 ~]# passwd woo  
    3. Changing password for user woo.  
    4. New UNIX password:   
    5. BAD PASSWORD: it is WAY too short  
    6. Retype new UNIX password:   
    7. passwd: all authentication tokens updated successfull  

    4、通过woo用户登录尝试切换到root   

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
    1. [woo@db01 ~]$ su - root           ← 即使密码输入正确也无法切换  
    2. Password:   
    3. su: incorrect password  
    4. [woo@db01 ~]$   

    5: 把root用户加入wheel组再尝试切换,可以切换

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
    1. [root@db01 ~]# usermod -G wheel woo    ← 将普通用户woo加在管理员组wheel组中  
    2. [root@db01 ~]# su - woo  
    3.   
    4. [woo@db01 ~]$ su - root           ←  这时候我们看到是可以切换了     
    5. Password:   
    6. [root@db01 ~]#       

    二、添加用户到管理员,禁止普通用户su到root
    6、添加用户,并加入管理员组,禁止普通用户su到root,以配合之后安装OpenSSH/OpenSSL提升远程管理安全

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
    1. [root@db01 ~]# useradd admin  
    2. [root@db01 ~]# passwd admin  
    3. Changing password for user admin.  
    4. New UNIX password:   
    5. BAD PASSWORD: it is too short  
    6. Retype new UNIX password:   
    7. passwd: all authentication tokens updated successfully.  
    8.   
    9.   
    10. [root@db01 ~]# usermod -G wheel admin   (usermod -G wheel admin 或 usermod -G10 admin(10是wheel组的ID号))  
    11. [root@db01 ~]# su - admin  
    12. [admin@db01 ~]$ su - root  
    13. Password:   
    14. [root@db01 ~]#   

    方法一:wheel组也可指定为其它组,编辑/etc/pam.d/su添加如下两行

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
    1. [root@db01 ~]# vi /etc/pam.d/su  
    2. auth sufficient /lib/security/pam_rootok.so debug  
    3. auth required /lib/security/pam_wheel.so group=wheel   

    方法二:编辑/etc/pam.d/su将如下行#符号去掉

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
    1. [root@db01 ~]# vi /etc/pam.d/su  
    2. #RedHat#auth required /lib/security/$ISA/pam_wheel.so use_uid   ← 找到此行,去掉行首的“#”  
    3. #CentOS5#auth required pam_wheel.so use_uid   ← 找到此行,去掉行首的“#”  

    #保存退出即可============

    [plain] view plaincopyprint?在CODE上查看代码片派生到我的代码片
     
      1. [root@db01 ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ← 添加语句到行末  
  • 相关阅读:
    poj 1789 每个字符串不同的字母数代表两个结点间的权值 (MST)
    poj 1251 poj 1258 hdu 1863 poj 1287 poj 2421 hdu 1233 最小生成树模板题
    poj 1631 最多能有多少条不交叉的线 最大非降子序列 (LIS)
    hdu 5256 最少修改多少个数 能使原数列严格递增 (LIS)
    hdu 1025 上面n个点与下面n个点对应连线 求最多能连有多少条不相交的线 (LIS)
    Gym 100512F Funny Game (博弈+数论)
    UVa 12714 Two Points Revisited (水题,计算几何)
    UVa 12717 Fiasco (BFS模拟)
    UVa 12718 Dromicpalin Substrings (暴力)
    UVa 12716 && UVaLive 6657 GCD XOR (数论)
  • 原文地址:https://www.cnblogs.com/Marshadows/p/4704006.html
Copyright © 2011-2022 走看看